パッチが適用されていないバージョンのLibreOfficeとOpenOfficeに新しい脆弱性が潜んでいます, ハッカーがドキュメントを操作して、信頼できるソースによって署名されたように見せることができるようにします. 脆弱性にもかかわらず (OpenOfficeのCVE-2021-41832およびLibreOfficeのCVE-2021-25635) 中程度としてリストされています, 深刻な影響をもたらす可能性があります.
ドキュメントマクロに展開されたデジタル署名は、ユーザーがドキュメントの信頼性を確認するのに役立ちます, それらを改ざんすると、組織全体が危険にさらされる可能性があります.
OpenOfficeのCVE-2021-41832; LibreOfficeのCVE-2021-25635
OpenOfficeの脆弱性は、セキュリティ研究者のDaveFisherによって発見されました, 「ApacheOpenOffice: 証明書検証攻撃によるコンテンツ操作」. 「攻撃者がドキュメントを操作して、信頼できるソースによって署名されているように見せかける可能性があります. ApacheOpenOfficeのすべてのバージョンから 4.1.10 影響を受ける. ユーザーはバージョン4.1.11に更新することをお勧めします」とFisher 書きました.
LibreOfficeの脆弱性は同じです. 「LibreOfficeの不適切な証明書検証の脆弱性により、攻撃者はODFドキュメントに自己署名することができました。, ターゲットによって信頼されていない署名, 次に、それを変更して、署名アルゴリズムを無効に変更します (またはLibreOfficeには不明) アルゴリズムとLibreOfficeは、信頼できる人によって発行された有効な署名として、未知のアルゴリズムでそのような署名を誤って提示していました,」LibreOfficeによると アドバイザリー.
CVE-2021-41832から保護する方法, CVE-2021-25635エクスプロイト
問題のパッチ適用に関して, LibreOfficeもOpenOfficeも自動更新機能を提供していないことに注意することが重要です. 保護されていることを確認するために、最新バージョンを実行していることを確認する必要があります: OpenOfficeバージョン 4.1.10 以降, およびLibreOfficeバージョン 7.0.5 また 7.1.1 以降. 各アプリケーションの公式ソースから最新バージョンをダウンロードできます.
4月中 2021, セキュリティ研究者は、いくつかの人気のあるソフトウェアアプリに複数のワンクリックの脆弱性を報告しました, LibreOfficeとOpenOfficeを含む, 脅威アクターが任意のコード実行攻撃を実行できるようにする.